A Lei Geral de Proteção de Dados Pessoais, mais conhecida como LGPD, entrará em vigor no dia 16 de agosto de 2020. Isso quer dizer que, até a referida data, adequar-se a ela é obrigação de todas as empresas, sob pena de serem penalizadas pela Autoridade Nacional de Proteção de Dados (ANPD), PROCONs e Ministério Público.

Um projeto completo de adequação à LGPD envolve pessoas, sistemas e processos, típicos de um projeto de segurança da informação, adicionado da necessidade de ajustes em documentos internos e externos e, em especial, contratos. Portanto, a complexidade de um projeto de adequação à LGPD depende muito do core business da empresa, sistemas envolvidos e cultura interna, sem falar no envolvimento das diversas áreas da empresa e do próprio corpo diretivo.

A adequação de uma empresa à LGPD passa por diversas fases, que podemos delimitar em seis passos principais:

a) Diagnóstico

É necessária uma verificação do quanto a empresa está em compliance com a LGPD, tomando conhecimento dos processos, sistemas e documentos desta. O entregável desta fase é um inventário de gaps e um plano de ação customizado para a empresa.

b) Inventário de dados

Nesta fase temos o levantamento dos dados, sendo que, dependendo da complexidade das empresas, pode ser necessária a contratação de um data mapping. Vale ressaltar que nesta fase, nem sempre apenas a contratação de uma aplicação é suficiente, eis que não são sempre 100% eficazes, dado a diversidade de possibilidade de locais de armazenamento, como em e-mails, documentos do Word, planilhas de Excel, em meios físicos, entre outros.

c) Classificação

Uma vez mapeados os dados, será necessário classificar os mesmos quanto à finalidade, sensibilidade e as bases legais de tratamento de dados estabelecidas na LGPD.

d) Adequação

Adaptar os sistemas e procedimentos internos à LGPD. Nesta fase, a empresa irá verificar a necessidade de adoção de um dos diversos sistemas de gestão de dados do mercado. O entregável nesta fase é o Relatório de Impacto a Proteção de Dados à proteção de dados pessoais (RIPD/DPIA)

e) Regularização

Fase onde é elaborado o Plano de Proteção de Dados Pessoais, os documentos da empresa são ajustados e, se for o caso, obter os consentimentos necessários ao tratamento de dados quando não houver possibilidade da utilização de uma das outras 9 bases legais.

f) Capacitação

Aqui o objetivo é capacitar o DPO/Encarregado, bem como os funcionários da empresa para que compreendam a necessidade de obediência à lei.

Como se verifica acima, são fases complexas e cada uma delas possui outras subfases, além de envolverem diversas áreas da empresa (Tecnologia, Jurídico, Compliance, entre outros) e dependendo das necessidades das empresas, diversas competências externas, como assessoria jurídica especializada, consultoria em segurança da informação, consultorias de tecnologia e, em alguns casos, a aquisição de sistemas.

Não há dúvida de que os projetos de adequação à LGPD precisam ser customizados empresa por empresa, para atingir o objetivo dentro de um prazo determinado, considerando que os orçamentos e recursos (humanos, financeiros e materiais) são escassos. O projeto deve ser otimizado, considerando a realidade da empresa, sob pena de não se alcançar as metas estipuladas, frustrando as expectativas dos stakeholders.

Daí a necessidade do projeto ser orientado pelo gerente de projetos, que irá verificar a melhor forma de congregar todos os recursos necessários dentro dos limitados budgets e prazos (lembrando que o deadline é 16 de agosto de 2020).

Gerente de projetos

O gerente de projetos é o profissional que possui conhecimento para envolver os 5 fundamentos básicos de um projeto: a inicialização, o planejamento, a execução, o acompanhamento/controle e o encerramento. Ou seja, é o profissional com domínio de habilidades técnicas e ferramentais utilizados para planejar, executar e monitorar um projeto. Este profissional poderá determinar, por exemplo, se o projeto deve seguir uma cartilha PMI ou de métodos ágeis como o Scrum.

Nesse sentido, melhor ainda quando os stakeholders podem indicar um profissional para capitanear o projeto pelo lado do cliente e a consultoria contratada para liderar o projeto possui um profissional com estes requisitos, que pode colaborar com o planejamento e execução e ainda atuar como um consultor, transferindo ao primeiro o conhecimento adquirido com outros projetos de adequação à LGPD.

Assim, projetos de adequação à LGPD de grande complexidade, seja em razão do core business da empresa ou em razão da grande dispersão dos dados pessoais no interior da empresa, tem mais chances de dar certo e ser concluído dentro das expectativas da companhia se contar com o envolvimento de um gerente de projetos.

Não é muito notar que o atraso em qualquer projeto gera custo para a empresa, vez que desperdiça os recursos envolvidos, impede o aproveitamento do objeto do projeto para o negócio e, em casos como o da LGPD, coloca a empresa em risco de penalização, pois há sanções previstas para quem não trata dados pessoais de acordo com as novas regras estabelecidas pela LGPD.

*Cida Volpis é gerente de Projetos no COTS Advogados, escritório especializado em Cyberlaw e Direito dos Negócios Digitais com sede em São Paulo. Bacharel em administração pelo Centro Universitário FEI, pós-graduada em Capacitação para Gestão de Qualidade de Vida no Trabalho e Dr. Márcio Cots é sócio do COTS Advogados, advogado Brasileiro e Europeu (PT). Membro do escritório norte-americano CyberLawStudio PLLC, com sede em Nova Iorque e consultor estrangeiro (fora da Europa), do escritório espanhol LetsLaw

Fonte Oficial: IT Forum 365

Comentários/Comments

Os textos, informações e opiniões publicados neste espaço são de total responsabilidade do(a) autor(a). Logo, não correspondem, necessariamente, ao ponto de vista do VIP CEO.